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Standortbestimmung Datenschutz 


Vorbemerkung der Fragesteller 

Seit einigen Jahren wird von Experten eine Modernisierung des Datenschutz- 
rechts angemahnt. Dafür haben Gutachter bereits in der 14. und 15. Wahl- 
periode Vorschläge gemacht. Der Innenausschuss des Deutschen Bundestages 
hat im vergangenem März 2007 zur Modernisierung des Datenschutzes eine 
Anhörung durchgefuhrt. 

Die voranschreitende technische Entwicklung, die Terrorismusbekämpfung 
aber auch europäische Regelungen haben Auswirkungen auf den Datenschutz. 
Private sammeln zudem vermehrt Daten, um sie z. B. für gezielte personalisierte 
Werbung einzusetzen. Mehrfach hat der Deutsche Bundestag die Bundes- 
regierung aufgefordert ein Datenschutzauditgesetz gemäß § 9a des Bundes- 
datenschutzgesetzes (BDSG) sowie ein Arbeitnehmerdatenschutzgesetz vorzu- 
legen (zuletzt Bundestagsdrucksache 16/4882). 


1 . Wie bewertet die Bundesregierung die Entwicklung des Datenschutzrechts 
in dieser Wahlperiode, insbesondere unter Berücksichtigung europäischer 
und deutscher Gesetzgebung? 

Die Bundesregierung bewertet die Entwicklungen des Datenschutzrechts in 
dieser Wahlperiode als positiv. Sowohl auf europäischer als auch auf nationaler 
Ebene wurden datenschutzrechtliche Regelungen an veränderte Lebenssach- 
verhalte angepasst, ln einigen Bereichen sind weitere Änderungen noch in 
dieser Legislaturperiode geplant. 


Die Antwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums des Innern vom 2 7. März 2008 über- 
mittelt. 

Die Drucksache enthält zusätzlich - in kleinerer Schrifttype - den Fragetext. 
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2. Wie bewertet die Bundesregierung die in dieser Wahlperiode beschlossene 
Weitergabe kommerzieller Daten an staatliche Stellen, wie z. B. Flug- und 
Passagierdaten zur Terrorismusbekämpfung im Hinblick auf das dem 
Datenschutzrecht zu Grunde liegende Grundrecht der informationeilen 
Selbstbestimmung? 

Das Gesetz zu dem Abkommen vom 26. Juli 2007 zwischen der Europäischen 
Union und den Vereinigten Staaten von Amerika über die Verarbeitung von 
Fluggastdatensätzen (PNR) und deren Übermittlung durch die Fluggesellschaf- 
ten an das United States Department of Flomeland Security (DFIS) (BGBl. 11 
S. 1978) schafft für den Bereich der PNR-Daten eine Rechtsgrandlage für den 
transatlantischen Informationsaustausch zur Bekämpfung von Terrorismus und 
sonstigen schweren Straftaten grenzüberschreitender Art, einschließlich der 
organisierten Kriminalität. Das Abkommen, welches von den USA lange ab- 
gelehnt wurde, dient der Rechtssicherheit. Es enthält bereichsspezifische Rege- 
lungen zum Datenschutz. 

Sofern nach § 8a Abs. 2 Nr. 1 des Bundesverfassungsschutzgesetzes, der in der 
gegenwärtig geltenden Fassung durch das Terrorismusbekämpfungsergän- 
zungsgesetz vom 5. Januar 2007 (BGBl. I S. 2) in das Gesetz eingefügt wurde, 
bei Luftfahrtunternehmen die Namen und Anschriften von Kunden und die 
Umstände von Transportleistungen erhoben werden können, bestehen keine 
Bedenken gegen die Wahrung des Verhältnismäßigkeitsprinzips. Die in § 8a 
Abs. 2 bis 4, 6 und 7 des Bundesverfassungsschutzgesetzes enthaltenen Voraus- 
setzungen und Verfahrensregeln stellen sicher, dass in das informationeile 
Selbstbestimmungsrecht der Betroffenen nur im Einzelfall hinsichtlich schwer- 
wiegender Gefahren für die in § 3 Abs. 1 des Bundesverfassungsschutzgesetzes 
genannten Schutzgüter und nur insoweit eingegriffen wird, wie dies jeweils er- 
forderlich ist. 


3. Wie bewertet die Bundesregierung die Befürchtung von Datenschützem, 
dass sich z. B. mit der Einführung der Steuer-Identifikationsnummer die 
Gefahr der Einführung einer Personenkennziffer erhöht hat? 

Bei der steuerlichen Identifikationsnummer nach § 139b der Abgabenordnung 
(AO IdNr.) handelt es sich nicht um eine Personenkennziffer, sondern um ein 
bereichsspezifisches Ordnungsmerkmal, welches ausschließlich der eindeuti- 
gen Identifizierung des Steuerpflichtigen im Besteuerangsverfahren dient 
(§ 139bAbs. 2 AO). 

Bei Schaffung der gesetzlichen Grundlagen zur IdNr. wurden Regelungen ein- 
geführt, die eine unbefugte Verwendung der IdNr. und der zu ihr gespeicherten 
Daten verhindern sollen. Danach haben ausschließlich die Finanzbehörden 
(§ 139b Abs. 4 und 5 AO) Zugriff auf die Daten, die zur jeweiligen IdNr. beim 
Bundeszentralamt gespeichert sind. Für den Arbeitgeber hält das Bundes- 
zentralamt für Steuern die IdNr., den Tag der Geburt, Merkmale für den 
Kirchensteuerabzug und folgende Lohnsteuerabzugsmerkmale des Arbeit- 
nehmers zum unentgeltlichen automatisierten Abruf nach amtlich vorgeschrie- 
benen Datensatz bereit (§ 39e EStG). Die Finanzbehörden dürfen diese Daten 
nur im Rahmen ihrer durch Rechtsvorschrift zugewiesenen Aufgaben verwen- 
den (§ 139b Abs. 4 und 5 AO); die Arbeitgeber dürfen die Daten ausschließlich 
für die Durchführung des Lohn- und Kirchensteuerabzugs verwenden (§ 39e 
Abs. 5 Satz 2 EStG). Ein Zugriff sonstiger Stellen auf diese Daten ist aus- 
geschlossen. 

Auch die Verwendung der IdNr. selbst ist gegen Missbräuche gesichert. Die 
IdNr. ist im Gegensatz zur Rentenversicherangsnummer eine nichtsprechende 
Nummer (§ 139a Abs. 1 Satz 2 AO). Das heißt, dass aus der Nummer keine 
Rückschlüsse auf den Steuerpflichtigen gezogen werden köimen. 
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Diese Regelungen wurden nicht nur in enger Abstimmung mit dem Bundes- 
beauftragten für den Datenschutz und die Informationsfreiheit (BfDI) umge- 
setzt, sondern resultieren zum Teil aus eigenen Vorschlägen des BfDI. 

Die Bundesregierang hält daher die Befürchtung von Datenschützem, dass sich 
mit der Einführung der IdNr. die Gefahr der Einführung einer Personenkenn- 
ziffer erhöht hat, für unbegründet. 


4. Welche Gesetzesvorhaben im Hinblick auf den Datenschutz sind noch für 
diese Wahlperiode von der Bundesregierung geplant? 

Die Bundesregierung strebt an, sowohl einen Entwurf eines Gesetzes zur Ände- 
rung des Bundesdatenschutzgesetzes als auch einen Entwurf eines Daten- 
schutzauditgesetzes so rechtzeitig vorzulegen, dass sie noch in der laufenden 
Legislaturperiode verabschiedet werden können. 


5. Wie wurde der im September 2007 vorgestellte Referentenentwurf zum 
Datenschutzaudit von den Verbänden bewertet? 

Die Verbände lehnen die Einführung eines gesetzlichen Audits aufgrund der 
Kostenbelastung der Unternehmen und des bürokratischen Mehraufwands ganz 
überwiegend ab. 


6. Wann wird die Bundesregierung voraussichtlich einen Regierungsentwurf 
zum Datenschutzaudit ins Parlament einbringen? 

Siehe Antwort zu Frage 4. 


7. Wie wurde der im September 2007 vorgestellte Referentenentwurf zur 
Änderung des BDSG im Auskunfteienwesen von den Verbänden bewertet? 

Teilweise haben die Verbände noch weitergehende, d. h. die betroffenen Unter- 
nehmen weiter einschränkende Regelungen gefordert, teilweise wurden die ge- 
planten Regelungen als zu weitgehend abgelehnt. 


8. Wann wird die Bundesregierung voraussichtlich einen Regiemngsentwurf 
zur Änderung des BDSG im Auskunfteienwesen ins Parlament einbringen? 

Siehe Antwort zu Frage 4. 


9. Mit welchen Maßnahmen unterstützt die Bundesregierung das Zustande- 
kommen einer Selbstverpflichtungserklärung der Wirtschaft zum Einsatz 
von RFID-Chips? 

Die Bundesregierung beobachtet seit Jahren aufmerksam die datenschutzrele- 
vanten Entwicklungen im Bereich Radio Frequency Identification (RFID) und 
steht mit den betroffenen Kreisen in Wirtschaft, Daten- und Verbraucherschutz 
in regelmäßigem Dialog. 

Zudem hat die Bundesregierung in ihrem jüngsten „Bericht zu den Aktivitäten, 
Planungen und zu einem möglichen gesetzgeberischen Flandlungsbedarf in Be- 
zug auf die datenschutzrechtlichen Auswirkungen der RFID-Technologie“ 
(Bundestagsdracksache 16/7891 vom 23. Januar 2008) empfohlen, zunächst 
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auf gesetzgeberische Maßnahmen zu verzichten und stattdessen einer Selbst- 
verpflichtung der Wirtschaft den Vorzug zu geben. 


10. Wamm kommt die Bundesregierung zur der Erkenntnis, dass die Indus- 
trie sich in der Frage der Selbstreguliemng hinsichtlich des Einsatzes von 
RFID-Chips „problembewusst gezeigt habe“, wenn die bisherigen Vor- 
schläge keine ausreichenden Mindeststandards zum Schutz der Privat- 
sphäre und Sanktionsmechanismen vorsehen (siehe Meldung auf Heise- 
Online vom 13. Febmar 2008, Bundesregierung hält Big-Brother-Szena- 
rien bei RFID für weit hergeholt)? 

Kaum eine andere Technologie hat in den betroffenen Wirtschaftskreisen be- 
reits so weit im Vorfeld flächendeckender Anwendung ähnlich große Informa- 
tions- und Diskussionsbereitschaft ausgelöst wie RFID. Zu den diesbezüglichen 
Aktivitäten der Wirtschaft zählen Verbraucherinformationsforen ebenso wie die 
regelmäßige Teilnahme an Arbeitskreisen, Workshops und bilateralen Gesprächen 
(u. a. auch mit dem Bundesministerium des Innern (BMI) und dem Bundes- 
ministerium für Wirtschaft und Technologie (BMWi)); siehe hierzu im Übrigen 
den „Bericht der Bundesregierung zu den Aktivitäten, Planungen und zu einem 
möglichen gesetzgeberischen Handlungsbedarf in Bezug auf die datenschutz- 
rechtlichen Auswirkungen der RFID-Technologie“ (Bundestagsdrucksache 16/7891 
vom 23. Januar 2008, S. 11). 


11. Welche besonderen Kampagnen plant die Bundesregiemng noch für 
diese Wahlperiode, um den Bekanntheitsgrad von datenschutzrelevanten 
Themen - wie z. B. RFID - zu erhöhen? 

Die Bundesregierung plant derzeit keine besonderen Kampagnen. 


12. Werden bei Ausschreibungen des Bundes auch datenschutzrechtliche 
Ausschreibungskriterien, z. B. Einsatz datenschutzrechtlicher Technolo- 
gie, gefordert? 

Von Bundesbehörden ausgeschriebene Leistungen müssen dem geltenden 
Recht entsprechen. Dazu gehört ggf. auch die Beachtung der einschlägigen 
datenschutzrechtlichen Anforderungen. Zum Teil werden in Ausschreibungen 
auch ausdrücklich Anforderungen an den Schutz personenbezogener Daten ge- 
stellt, die auf die Beschaffung datenschutzgerechter Technologien abzielen. 


13. Werden datenschutzfreundliche Techniken gezielt von der Bundesregie- 
rang gefordert, und wenn ja, welche, und in welcher Höhe? 

Die Bundesregierung fördert in zahlreichen Projekten gezielt den Einsatz oder 
die Entwicklung datenschutzfreundlicher Technologien. 

Das unter Federführung des BMI stehende Projekt Bürgerportale soll das Ver- 
senden und Empfangen von Nachrichten und Dokumenten im Internet so ein- 
fach, sicher, vertraulich und verbindlich machen wie heute die Papierpost. Da- 
für soll ein Verbund von staatlich zertifizierten, aber privat betriebenen Anbie- 
tern von sicheren E-Mail-Diensten aufgebaut werden. Die Zertifizierung soll 
neben Funktionalität, IT-Sicherheit und Verbraucherschutz auch den Daten- 
schutz umfassen. 

Das Projekt ist Teil der Hightechstrategie und des E-Government-Programms 
2.0 der Bundesregierung sowie des 12-Punkteplans für ein bürgerfreundliches 
Deutschland. 
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Mit dem elektronischen Personalausweis (ePA) soll künftig der elektronische 
Identitätsnachweis (elD-Nachweis) im Internet und gegenüber Automaten er- 
möglicht werden. Diese — für den Bürger fakultative — Bürgerkartenfunktion 
wird den Datenschutz nicht nur normativ, sondern auch technisch unterstützen. 
Den technischen Lösungen des elektronischen Personalausweises liegen inter- 
national im Rahmen der Internationalen Zivilluftfahrt-Organisation (ICAO) 
bzw. im Rahmen der EU abgestimmte Kryptographieverfahren zugrunde. 

Die Bereitstellung der Personendaten beim elektronischen ID-Nachweis mit 
dem elektronischen Personalausweis soll dabei immer ein bewusstes Handeln 
des Personalausweisinhabers erfordern und so seine informationeile Selbst- 
bestimmung stärken. Der Personalausweisinhaber wird zusätzlich zur Bereit- 
stellung seines elektronischen Personalausweises mit einem Kartenleser die nur 
ihm bekannte PIN eingeben müssen, dabei das Zertifikat des Diensteanbieters 
überprüfen können und im Einzelfall über die Auswahl der vom Chip auszu- 
lesenden Personendaten entscheiden können. Die Ausstellungsgebühr für ePA 
und die Kosten für die Anwendung, Kartenleser etc. trägt grandsätzlich der an- 
wendende PA-Inhaber. 

Der Intemet-Diensteanbieter oder Automatenbetreiber wird von Amts wegen 
ein Zertifikat (Zugriffsschlüssel) erhalten und nur mit diesem auf die zweck- 
gebunden ausgewählten Personendaten im elektronischen Ausweis zugreifen 
können. Bei der Erteilung der widerrufbaren Zertifikate soll eine Prüfung der 
Erforderlichkeit von Personendaten für den Geschäftszweck des Diensteanbie- 
ters erfolgen. So wird das Missbrauchspotential eingeschränkt und die Verwen- 
dung der Daten offen gelegt und nachvollziehbar. Identitätsdiebstahl bspw. 
durch das rasant ansteigende „Phishing“ wird weitgehend ausgeschlossen. Die 
Gebühren der Zertifikate für die Diensteanbieter, sollen zur Aufwandsdeckung 
herangezogen werden. 

Vorarbeiten für die Einführung des ePA und zum Identitätsmanagement werden 
im Rahmen der Hightechstrategie der Bundesregierung gefördert. 

Die Virtuelle Poststelle (VPS) unterstützt insbesondere die Verwendung des 
Transportprotokolls Online Services Computer Interface (OSCI-Transport 1.2), 
das maßgeblich im E-Government als Standard für die elektronische Kommuni- 
kation zum Einsatz kommt. Die Datenschutzbeauftragten des Bundes und der 
Länder (siehe Beschluss der Konferenz der Datenschutzbeauftragten des Bundes 
und der Länder vom 29. Oktober 2004) empfehlen den Einsatz von OSCl-Trans- 
port für die datenschutzgerechte Ende-zu-Ende-Sicherheit im E-Government, da 
dieses eine durchgehende Sicherheit vom Versand bis zum Empfang einer Daten- 
übermittlung gewährleistet. Die VPS leistet somit einen wesentlichen Beitrag 
zum praktischen Einsatz datenschutzfreundlicher Technik. 

Daneben sind zahlreiche Projekte zur Erhöhung der Sicherheit und Vertraulich- 
keit in der E-Mail-Kommunikation zu neimen (z. B. Gpg2, Ägypten/Kleopatra, 
Kolab/Kontact, Gpgdwin etc.), die durch den Einsatz kryptographischer Ver- 
schlüsselung und Signaturen die Voraussetzung für Vertraulichkeit, Authentizität 
und Integrität in der E-Mail-Kommunikation schaffen. Durch den Schutz vor un- 
erlaubter Einsicht und Manipulation wird der Datenschutz unmittelbar gestärkt. 

Das Bundesamt für Sicherheit in der Informationstechnik hat den Europäischen 
Datenschutzbeauftragten im Rahmen des EUROD AC -Audits unterstützt. Das 
Audit erfolgte nach ISO 27001 auf der Basis von IT-Grundschutz. 


14. Wie bewertet die Bundesregierang die bisherigen Regelungen für 
Pseudonymisierangskonzepte, und welchen Änderangsbedarf sieht sie? 

Die bestehenden Regelungen für Pseudonymisierangskonzepte haben sich bis- 
her bewährt. Gegenwärtig wird kein Änderangsbedarf gesehen. 
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Im Technologieprojekt „AN.ON — Anonymität. Online“ hat das BMWi darüber 
hinaus die Entwicklung leistungsfähiger Protokolle und Architekturen zur ano- 
nymen und unbeobachtbaren Bewegung eines Nutzers im Internet gefördert, 
die auf den bestehenden rechtlichen Regelungen aufsetzen (www.datenschutz- 
zentrum.de/projekte/anon/index.htm#einf). 


15. Wie bewertet die Bundesregiemng die verbandliche Selbstregulierang im 
Bereich des Datenschutzes? 

16. Wird das vorgesehene Instmment des Aufstellens von Verhaltensregeln 
durch Verbände gemäß § 38a BDSG ausgiebig genutzt, und wenn nein, 
welche Ursachen gibt es dafür? 

Verbände köimen jederzeit und unabhängig von § 38a BDSG für ihre Mitglieder 
Verhaltensregeln zur Förderang der Durchführung datenschutzrechtlicher Rege- 
lungen aufstellen. § 38a BDSG gewährleistet, dass die Entwürfe für derartige 
Verhaltensregeln der Aufsichtsbehörde unterbreitet werden, und verpflichtet 
diese, die Vereinbarkeit mit dem geltenden Datenschutzrecht zu überprüfen. Die 
Überprüfung erfolgt auf Länderebene durch die zuständige Aufsichtsbehörde 
nach § 38 Abs. 6 BDSG i. V. m. dem Landesrecht. Der Bundesregierung liegen 
keine näheren Erkenntnisse vor, in welchem Umfang Verbände von der Mög- 
lichkeit des § 38a BDSG Gebrauch machen. 


17. Hält die Bundesregierang das bestehende Sanktionensystem hinsichtlich 
der genannten Tatbestände, der Höhe der Bußgelder bzw. der Straf- 
androhung, dem Antragserfordemis gemäß § 44 BDSG und der tatsäch- 
liche verhängten Sanktionen im BDSG für ausreichend und angemessen, 
und wenn nein, welche Gegenmaßnahmen wird die Bundesregierung er- 
greifen? 

Das bestehende Sanktionssystem der §§ 43, 44 BDSG, das durch bereichsspe- 
zifische Straf- und Bußgeldvorschriften ergänzt wird, hat sich nach Auffassung 
der Bundesregierung grundsätzlich als ausreichend und angemessen bewährt. 
Zum verbesserten Schutz der Rechte der Betroffenen plant die Bundesregie- 
rung die Einführung eines neuen Bußgeldtatbestands für den Fall, dass der Aus- 
kunftsansprach des Betroffenen nach § 34 BDSG nicht ordnungsgemäß erfüllt 
wird. 


18. Wie bewertet die Bundesregierung die Wirksamkeit der unterschied- 
lichen Zuständigkeiten der Aufsichtsbehörden für den öffentlichen und 
nicht-öffentlichen Bereich für ein und dieselbe Branche (z. B. Verkehrs- 
betrieb, Energieversorgung, Sport- und Freizeitveranstaltungen) je nach 
Rechtskonstraktion? 

Die Regelung der angesprochenen Zuständigkeitsfragen liegt in der Kompetenz 
der Länder und ist daher einer Bewertung durch die Bundesregierung entzogen. 


19. Welche Formen der Kooperation und Abstimmung gibt es zwischen den 
Aufsichtsbehörden für Datenschutz auf nationaler und europäischer 
Ebene? 

Die Aufsichtsbehörden i. S. d. § 38 BDSG treffen sich halbjährlich im sog. 
Düsseldorfer Kreis und auf europäischer Ebene in der sog. Artikel-29-Grappe 
sowie der Europäischen Datenschutzkonferenz. 
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20. Hält die Bundesregierung die bisherigen Befugnisse der Aufsichts- 
behörde, insbesondere bei einer widerrechtlichen Verarbeitung von per- 
sonenbezogenen Daten, für ausreichend, und wie begründet sie das? 

Die bestehenden Befugnisse der Aufsichtsbehörden nach § 24 ff, § 38 BDSG 
sowie den jeweiligen Datenschutzgesetzen der Länder haben sich nach Auffas- 
sung der Bundesregierung als ausreichend und angemessen bewährt, die wider- 
rechtliche Verarbeitung personenbezogener Daten festzustellen und zu unterbin- 
den. Der Bundesregierung sind keine Fälle bekannt, in denen eine Aufsichtsbe- 
hörde mangels Befugnis nicht ausreichend auf einen Verstoß gegen datenschutz- 
rechtliche Vorschriften reagieren konnte. Die Bundesregierung sieht daher 
derzeit keinen Flandlungsbedarf 


21. Ist der Bundesregierung bekannt, in wie vielen Fällen die Mitteilung der 
Datenschutzaufsichtsbehörde gegenüber der Gewerbeaufsichtsbehörde 
gemäß § 38 Abs. 1 Satz 5 BDSG zu gewerberechtlichen Maßnahmen ge- 
führt und dieses Instrument praktische Bedeutung erlangt hat? 

Nein, der Bundesregierung ist keine Fallzahl bekannt. 


22. Nach welchen objektiven Kriterien stellen die Aufsichtsbehörden nach 
§§ 24, 25 und 38 Abs. 5 BDSG sowie § 115 Abs. 4 TKG eine nicht aus- 
reichende Fachkunde und Zuverlässigkeit fest? 

Der Bundesregierung liegen keine Erkenntnisse vor, nach welchen Kriterien die 
Datenschutz-Aufsichtsbehörden der Länder nach § 38 Abs. 5 BDSG eine nicht 
ausreichende Fachkunde und Zuverlässigkeit feststellen. 

Soweit der BfDl im TK-Bereich datenschutzrechtliche Aufsichtsbehörde ist, 
weist er daraufhin, dass kein formaler Kriterienkanon für die Feststellung der 
Fachkunde und Zuverlässigkeit betrieblicher Datenschutzbeauftragter bei TK- 
Untemehmen besteht. Fachkunde setzt hier entsprechend der allgemeinen 
Interpretation der gesetzlichen Vorgaben die sichere Kenntnis der datenschutz- 
rechtlichen Bestimmungen des Telekommunikationsgesetzes und des Bundes- 
datenschutzgesetzes sowie gute Keimtnisse der betrieblichen IT voraus. Bei der 
Zuverlässigkeit geht es neben der persönlichen Eignung insbesondere auch um 
die Kompatibilität mit anderen Aufgaben. 


23. Wie viele Unternehmen wurden in den letzten fünf Jahren nach § 115 
Abs. 4 TKG wegen fehlender oder unzureichend qualifizierter betrieb- 
licher Datenschutzbeauftragter vom BfDI gerügt oder wegen einer Ord- 
nungswidrigkeit belangt? 

Der BfDI hat hierzu Folgendes mitgeteilt: 

Sofern sich anlässlich der Stellungnahmen betrieblicher Datenschutzbeauftrag- 
ter zu datenschutzrechtlichen Eingaben von Kunden Defizite hinsichtlich der 
Qualifikation oder der datenschutzrechtlichen Sensibilisierung zeigen, wirkt 
der BfDI auf eine bessere Aus- und Fortbildung der betrieblichen Datenschutz- 
beauftragten, ihrer Mitarbeiter und der in der automatisierten Datenverarbei- 
tung der TK-Untemehmen tätigen Mitarbeiter hin. Die unzureichende Be- 
antwortung von Anfragen des BfDI hat in den letzten Jahren wiederholt zu 
Beratungs- und Kontrollbesuchen geführt. Eine förmliche Sanktion wegen 
unzureichender Ausbildung oder Qualifikation betrieblicher Datenschutzbeauf- 
tragter im Sinne einer Beanstandung (§ 25 BDSG) ist zumindest in den letzten 
fünf Jahren nicht erfolgt. 
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24. Welche datenschutzrechtlichen Probleme ergeben sich bei der euro- 
päischen und internationalen Zusammenarbeit im Hinblick auf die unter- 
schiedlichen Datenschutzniveaus? 

Keine datenschutzrechtlichen Probleme ergeben sich bei der Übermittlung per- 
sonenbezogener Daten an Stellen in anderen Mitgliedstaaten der Europäischen 
Union, in anderen Vertragsstaaten des Abkommens über den Europäischen 
Wirtschaftsraum oder der Organe und Einrichtungen der Europäischen Ge- 
meinschaften, soweit Tätigkeiten betroffen sind, die ganz oder teilweise in den 
Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen. Hier 
gelten im Wesentlichen dieselben Regelungen wie für die Übermittlung perso- 
nenbezogener Daten an inländische Stellen (§ 4b Abs. 1 BDSG). Ein angemes- 
senes Datenschutzniveau ist in diesen Fällen über die EG-Datenschutzrichtlinie 
95/46/EG gewährleistet. 

Erfolgt die Datenweitergabe dagegen an sonstige ausländische, über- oder 
zwischenstaatliche Stellen oder fällt sie nicht ganz oder teilweise in den An- 
wendungsbereich des Rechts der Europäischen Gemeinschaften, muss die 
Übermittlung unterbleiben, soweit der Betroffene ein schutzwürdiges Interesse 
an deren Ausschluss hat. Davon ist insbesondere dann auszugehen, wenn auf 
Seiten der Empfänger kein angemessenes Datenschutzniveau gewährleistet ist 
(§ 4b Abs. 2 Satz 1 und 2 BDSG). Eine Datenübermittlung ist in diesem Falle 
nur möglich, wenn einer der Ausnahmetatbestände des § 4b Abs. 2 Satz 3 oder 
des § 4c BDSG erfüllt ist. 

Im November 2007 hat sich zudem der Rat der Europäischen Union politisch 
auf einen Rahmenbeschluss zum Datenschutz in der 3. Säule geeinigt. 


25. Wie wird sichergestellt, dass der Empfängerstaat mit den übermittelten 
personenbezogenen Daten ordnungsgemäß umgeht? 

Vor Übermittlung der Daten hat die verantwortliche Stelle zu prüfen, ob und 
inwieweit der Betroffene ein schutzwürdiges Interesse am Ausschluss der 
Übermittlung hat, insbesondere ob bei der empfangenden Stelle ein angemesse- 
nes Datenschutzniveau gewährleistet ist (§ 4b Abs. 2 BDSG). 

Die Angemessenheit des Schutzniveaus wird unter Berücksichtigung aller 
Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von 
Datenübermittlungen von Bedeutung sind; insbesondere können die Art der 
Daten, die Zweckbestimmung, die Dauer der geplanten Verarbeitung, das 
Herkunftsland und das Endbestimmungsland, die für den betreffenden Empfän- 
ger geltenden Rechtnormen sowie die für ihn geltenden Standesregeln und 
Sicherheitsmaßnahmen herangezogen werden (§ 4b Abs. 3 BDSG). 

Ergibt die Prüfung, dass ein angemessenes Datenschutzniveau nicht gewähr- 
leistet ist, unterbleibt die Übermittlung, es sei denn die unter Frage 24 genann- 
ten Ausnahmetatbestände liegen vor. Die Verantwortung für die Zulässigkeit 
der Übermittlung trägt die übermittelnde Stelle (§ 4b Abs. 5 BDSG). 

Sieht ein internationales Abkommen die Übermittlung personenbezogener 
Daten ins Ausland vor, wirkt die Bundesregierung zudem regelmäßig darauf 
hin, dass in den Vertragstext eine detaillierte Datenschutzklausel aufgenommen 
wird. 

ln jedem Falle ist die Stelle, an die die Daten übermittelt werden, auf den 
Zweck hinzuweisen, zu dessen Erfüllung die Übermittlung erfolgt (§ 4b Abs. 6 
BDSG). 
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